- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
Информационные технологии, основанные на последних достижениях в области вычислительной техники и связи, находят все более широкое применение буквально во всех сферах нашей жизни и деятельности. В отличие от индустриальных технологий, где основным объектом переработки является сырье и материалы, информационные технологии потребляют и перерабатывают информацию. С развитием ИТ объёмы обрабатываемой и передаваемой информации, как в абсолютных величинах, так и по отношению к объёмам обработки сырья и материалов в индустриальных технологиях, непрерывно возрастают. В связи с этим многие специалисты даже говорят о переходе к новой качественной ступени развития - информационному обществу.
Почему же современные компьютеры и средства телекоммуникации так широко востребованы? Что такое они умеют делать, что становятся необходимыми практически везде? Чаще всего приходится слышать ответ, что компьютеры позволяют автоматизировать умственный труд. Но разве физический труд они не позволяют автоматизировать (или автоматизировать его в большей степени)? Что это за «умственный труд»?
Ответ на все эти вопросы очень прост. Компьютерные технологии позволяют автоматизировать процессы управления (умственный труд по управлению - по принятию решений в конкретных ситуациях на основе имеющейся информации). А поскольку управление необходимо везде, всегда и всем, то и средства автоматизации управления применяются повсеместно. Автоматизация на основе современных ИТ позволяет принимать решения более оперативно и обоснованно, позволяет учитывать при принятии управленческих решений больший объем сведений, тем самым, повышая качество и эффективность управления. Управления чем бы то ни было, — от отдельных узлов и агрегатов, например, в автомобилях, деятельностью отдельных людей, технологическими процессами на производстве, бизнес процессами компаний, экономическими и социально-политическими процессами в обществе.
Отсюда и все возрастающее внимание к защите применяемых для автоматизации управления информационных технологий и непосредственно информации. Любые нарушения и неполадки в работе информационных систем (ИС), систем обработки и передачи информации, - и, как следствие, снижение качества или полная потеря управления критичными процессами со всеми вытекающими убытками и потерями.
Если посмотреть внимательнее, то можно увидеть, что любая информационная система, как бы она не называлась, всегда является частью соответствующей системы управления. А любая автоматизированная информационная система (АИС) - частью автоматизированной системы управления (АСУ).
Любое фундаментальное техническое или технологическое новшество, предоставляя возможности для решения одних социальных проблем и открывая широкие перспективы для развития личности и общества, всегда вызывает обострение старых или порождает новые, ранее неизвестные проблемы, становится источником новых потенциальных опасностей.
Без должного внимания к вопросам обеспечения безопасности последствия перехода общества к новым технологиям могут быть катастрофическими для него и его граждан. Именно так обстоит дело в области атомных, химических и других экологически опасных технологий, в сфере транспорта. Аналогично обстоит депо и с информатизацией общества.
Неправомерное искажение или фальсификация, уничтожение или разглашение определённой части информации, равно как и дезорганизация процессов её обработки и передачи в информационно-управляющих системах наносят серьёзный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия.
Жизненно важные интересы этих субъектов, как правило, заключаются в том, чтобы определённая часть информации, касающаяся их экономических, политических и других сторон деятельности, конфиденциальная коммерческая и персональная информация, была бы постоянно легко доступна и в то же время надёжно защищена от неправомерного её использования: нежелательного разглашения, фальсификации, незаконного тиражирования, блокирования или уничтожения.
Имеются веские основания полагать, что применяемые в настоящее время большинством организаций меры не обеспечивают необходимого уровня безопасности субъектов, участвующих в процессе информационного взаимодействия, и не способны в необходимой степени противостоять разного рода воздействиям с целью доступа к критичной информации и дезорганизации работы автоматизированных систем.
К сожалению, как и любое другое достижение человеческого гения, компьютер, решая одни технические, экономические и социальные проблемы, одновременно порождает и другие, порою не менее сложные. Если в должной мере не позаботиться о нейтрализации сопутствующих прогрессу негативных факторов, то эффект от внедрения новейших достижений науки и техники может оказаться в целом отрицательным.